我有一个使用 sslbump 功能的 Squid 代理服务器,它可以很好地处理自签名证书,但浏览器对此有抱怨。现在我试图将 Squid 服务器设置为我们 Active Directory CA 的从属 CA,以便浏览器信任 Squid 创建的证书。以下是我正在做的但不起作用的事情的概述:
- 在 squid 服务器上使用 openssl 创建 CSR
- 将该 CSR 粘贴到 Microsoft AD Certicicate Services 中(使用从属 CA 模板)
- 获取生成的 Base-64 证书并将其放在 Squid 服务器上
这会导致浏览器抱怨证书。当我在浏览器中查看证书时,我总是收到以下错误:“Windows 没有足够的信息来验证此证书”,并且证书路径中没有 CA。我上面列出的步骤更详细这里。证书不是我的强项,我不知道下一步该怎么做。我觉得这个问题可能与我创建 CSR 的方式有关,或者可能是我对这个过程的理解从根本上是错误的。任何帮助都值得感激。
是的,我们的最终用户知道这一点。
答案1
答案可能有点晚了,但无论如何 - 您需要将从企业 CA 获得的私钥和从属证书放在一起,以生成一个可以在 ssl-bump 的 cert= 指令中使用的 pem。